项目背景:

风险管理是在我国金融业全面开放的背景下，银行业近期发展的关键管理活动之一。《新巴塞尔资本协议》中定义的经营风险，包括IT系统给公司带来的风险。商业银行面临的风险是多方面的，IT系统的安全稳定运行对银行业金融机构来说尤为重要。

项目情况:

该商业银行基于对业已形成的来自外部的压力以及自身需求的驱动的考虑，经管理层决策，参照ISO27001国际最佳实践和标准，采取持续改进的方式，建立起全省行范围内全面的信息安全管理体系（ISMS），从而对内增强管控和信心，对外提供保证和承诺，以此适应信息安全新情况新需求的发展。

难点特点:

2006年启动的此项目整个过程经历了准备、实现、运行、认证四个阶段，主要解决了以下问题：建立的ISMS务必体现银行业自身特点并适合银行业特殊需求；强调过程管理，确保与信息安全相关的资源、技术、管理等因素处于受控状态；重点放在业务连续性管理、访问控制、人员安全、第三方安全管理等领域，有效降低风险，提高业务连续保障能力；建立专业化的信息安全管理队伍，形成持续改进的信息安全管理机制。

最终成果:

该客户于2007年1月正式获得UKAS认证证书，为国内银行业中第一家获得ISO27001信息安全管理体系认证的机构。

客户评价:

“通过ISMS建设实施，我行明确了“以保证业务连续性为根本目标”等十大管理原则，提出了“全面保障、积极防护、动态管理、持续改进”的信息安全方针；形成了持续改进的信息安全管理机制，提升了信息安全管理水平；并与风险内控体系、ISO9000质量管理体系实现融合，实现了“三标”内部管理”